XML 解析器在 .NET Core 中不受 XML 外部实体 (XML) 注入的影响吗?
Are XML parsers safe from XML External Entity (XML) injection in .NET Core?
我正在尝试确定 .NET Core 应用程序是否容易受到 XML 外部实体 (XXE) 注入攻击。我读到 this OWASP XXE Prevention Cheat Sheet,它告诉我,例如,XmlDocument 在 4.5.2 之前的 .NET Framework 版本中默认是不安全的。我找不到 .NET Core 版本的任何类似文档。我看到 .NET Core 是在 .NET Framework 4.6.2 发布后的几个月内发布的。因此,我可以假设这些 XML 解析器在 .NET Core 中默认是安全的吗?
我测试的 XML 解析器在 .NET Core 2.1 中具有与在 .NET Framework 4.5.2 中相同的特性(至少在 XXE 注入方面)。为了回应我在问题中给出的具体示例,XmlDocument 在 .NET Framework 4.5.1 中默认是不安全的,但在 .NET Framework 4.5.2 和 .NET Core 2.1 中默认是安全的。
为了让自己相信这个事实,我对 .NET Framework 4.5.1 和 4.5.2,以及 .NET Core 2.1 进行了测试。我的代码和结果可用 on GitHub.
我正在尝试确定 .NET Core 应用程序是否容易受到 XML 外部实体 (XXE) 注入攻击。我读到 this OWASP XXE Prevention Cheat Sheet,它告诉我,例如,XmlDocument 在 4.5.2 之前的 .NET Framework 版本中默认是不安全的。我找不到 .NET Core 版本的任何类似文档。我看到 .NET Core 是在 .NET Framework 4.6.2 发布后的几个月内发布的。因此,我可以假设这些 XML 解析器在 .NET Core 中默认是安全的吗?
我测试的 XML 解析器在 .NET Core 2.1 中具有与在 .NET Framework 4.5.2 中相同的特性(至少在 XXE 注入方面)。为了回应我在问题中给出的具体示例,XmlDocument 在 .NET Framework 4.5.1 中默认是不安全的,但在 .NET Framework 4.5.2 和 .NET Core 2.1 中默认是安全的。
为了让自己相信这个事实,我对 .NET Framework 4.5.1 和 4.5.2,以及 .NET Core 2.1 进行了测试。我的代码和结果可用 on GitHub.